Säkerhetsforskare publicerar proof-of-concept-app för att visa säkerhetsproblem i Googles mobila operativsystem.
Googles mobila operativsystem har kritiserats för att vara osäkert, mycket tack vare Androids historia av slapp app-policy.
Men nu verkar det som om appar utan behörigheter utgör ett nytt hot, eftersom de kan få tillgång till känsliga personuppgifter utan tillstånd. Paul Brodeur, forskare på Leviathan Security Group, förklarade i ett blogginlägg tidigare i veckan att han skapat ett proof-of-concept för att visa att appar utan behörigheter fortfarande har tillgång till enhetens SD-kort, telefonens identifieringsdata och filer som lagras av andra appar.
På SD-kortet gav Brodeurs app en lista över alla icke-dolda filer, inklusive foton, säkerhetskopior och externa konfigurationsfiler. Brodeur sa att han upptäckte att OpenVPN-certifikat lagrades på SD-kortet i hans egen enhet.
”Även om det är möjligt att hämta innehållet i alla dessa filer, överlåter jag åt någon annan att bestämma vilka filer som ska hämtas och vilka som ska vara tråkiga”, sa han.
Han hämtade sedan filen /data/system/packages.list för att se vilka appar som var installerade på enheten och skannade katalogerna för att avgöra om känslig information kunde läsas från dessa kataloger. Han sa under testningen att han kunde läsa vissa filer som tillhörde andra appar. ”Den här funktionen kan användas för att hitta appar med svag behörighet, t.ex. de som rapporterades i Skype förra året”, säger han.
Slutligen kunde Brodeurs app samla in telefonens identifieringsinformation. Utan tillståndet ”PHONE_STATE” kan applikationer inte läsa enhetens International Mobile Equipment Identity eller International Mobile Subscriber Identity. Informationen om Global System for Mobile Communications och SIM-leverantörens ID kunde dock fortfarande läsas.
”Även om den här appen använder knappar för att aktivera de tre olika åtgärder som beskrivs ovan, är det trivialt för vilken installerad app som helst att utföra dessa åtgärder utan någon användarinteraktion”, skrev han.
Brodeur säger att han testade appen på Android 4.0.3 Ice Cream Sandwich och Android 2.3.5 Gingerbread.
Källa: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/